Windows - 阻止所有子目錄中的 exe 文件的軟體限制策略
如何阻止 %APPDATA% 中的所有執行檔?
我讀過 CryptoLocker 這是一個很好的政策:
C:\Users\User\AppData\Roaming\*\*.exe但這顯然不會保護超過一層。
但是是什麼阻止某人深入另一層
C:\Users\User\AppData\Roaming\dir\dir\trojan.exe是否可以創建一個策略來阻止 appdata 中的每個 exe,無論其深度如何?
你如何處理這些問題?謝謝
根據 Microsoft 關於 GPO 軟體限制的指南:
http://technet.microsoft.com/en-us/library/bb457006.aspx
路徑規則
路徑規則可以指定程序的文件夾或完全限定路徑。當路徑規則指定文件夾時,它會匹配該文件夾中包含的**任何程序以及子文件夾中包含的任何程序。**支持本地和 UNC 路徑。
在路徑規則中使用環境變數。
路徑規則可以使用環境變數。由於路徑規則是在客戶端環境中評估的,因此使用環境變數(例如 %WINDIR%)的能力允許規則適應特定使用者的環境。
重要提示:環境變數不受訪問控制列表 (ACL) 的保護。如果使用者可以啟動命令提示符,他們可以將環境變數重新定義為他們選擇的路徑。
在路徑規則中使用萬用字元。路徑規則可以包含“?” 和 ‘’ 萬用字元,允許諸如“.vbs”之類的規則匹配所有 Visual Basic® 腳本文件。一些例子:
•"\DC-??\登錄 $ " matches \DC-01\login $ , \DC-02\登錄$
•"*\Windows" 匹配 C:\Windows、D:\Windows、E:\Windows
•“c:\win*” 匹配 c:\winnt、c:\windows、c:\windir
因此,由於使用者可以重新定義 %APPDATA% 指向的位置,因此請考慮
APPDATA在路徑規則中使用環境變數,而不是實際的完全限定文件系統路徑。以下範例顯示了將環境變數應用於路徑規則的實例:
• “%UserProfile%”匹配 C:\Documents and Settings\User 以及該目錄下的所有子文件夾。
• “%ProgramFiles%\Application” 匹配 C:\Program Files\Application 和該目錄下的所有子文件夾。